Rolf B: SMTP + TLS immer sinnoll?

Beitrag lesen

Hallo pl,

prinzipiell ist deine Aussage natürlich komplett richtig: EMail bietet keine E2E Verschlüsselung und du hast ab dem ersten fremdem EMail-Server keine Kontrolle mehr über die weitere Übertragung.

Mich stört aber das Wort "sinnvoll". Auf eine SMTP-Verschlüsselung zu verzichten, weil ich nicht sicher bin, dass irgendwo auf der Strecke jemand mitliest? Ich führe meine Post-Korrespondenz ja auch nicht deshalb über Postkarten, weil irgendwer unterwegs den Brief öffnen und wieder verschließen könnte. Wenn alle beteiligten Mailserver TLS[1] verwenden, kann zumindest niemand auf der Strecke mitlesen.

Was man formulieren sollte, ist: TLS zum Mailserver ist absolut sinnvoll. Es entfernt einen von vielen Angriffsvektoren. Vertrauliche Informationen per E-Mail zu schicken, das ist absolut NICHT sinnvoll, weil E-Mail prinzipbedingt kein abhörsicheres Medium ist.

Für Abhörsicherheit brauchst Du Ende-zu-Ende Verschlüsselung, dafür kannst Du auf PGP und ähnliche Produkte eingehen, die das für Mail ermöglichen. Alternativ muss einer der beiden Kommunikationspartner seinen eigenen, sicheren Server haben, und der andere Kommunikationspartner muss sich mit TLS, unter Verwendung von Zertifikaten, dorthin verbinden. Wenn es dann auf konkrete TLS-Protokolle hinaus läuft, kannst Du noch erwähnen dass ab 2020 TLS 1.2 das Minimum ist, weil die großen Browser ältere Versionen dann nicht mehr unterstützen wollen.

Just my 2ct - mach damit was Du möchtest.

Rolf

--
sumpsi - posui - clusi

  1. gemeint als Gattungsbegriff ↩︎